macOS ClickFix : un RAT persistant et un stealer AppleScript ciblent Asie, Amérique du Nord et Océanie

🔍 Contexte Netskope Threat Labs a publiĂ© le 17 juin 2026 une analyse technique d’une campagne ClickFix ciblant macOS, interceptĂ©e le 31 mai 2026. Cette campagne fait suite Ă  une premiĂšre vague signalĂ©e en avril 2026 et reprĂ©sente une Ă©volution significative : elle intĂšgre dĂ©sormais un RAT (Remote Access Trojan) persistant en plus d’un infostealer AppleScript. L’attaquant est identifiĂ© comme russophone. 🎯 Ciblage et distribution Victimes : principalement en Asie, AmĂ©rique du Nord et OcĂ©anie Secteurs : technologie, mĂ©dias, services aux entreprises Infrastructure : 25 domaines leurres Ă©phĂ©mĂšres, tous proxifiĂ©s via Cloudflare, enregistrĂ©s avec le mĂȘme email administrateur (dbc9a6801423efc7s@ghastlier[.]com) Pages leurres : trois variantes — fausse page utilitaire macOS (“StellarScan Solutions”), fausse page GitHub, page de support IT localisĂ©e (Berlin) ⚙ ChaĂźne d’infection (entiĂšrement fileless) Social engineering ClickFix : la victime est incitĂ©e Ă  copier-coller une commande curl dans le Terminal Stage 1 (loader zsh) : script gzip+base64 Ă©valuĂ© en mĂ©moire, effectue : GĂ©ofencing CIS : dĂ©tecte le clavier russe via com.apple.HIToolbox.plist et quitte silencieusement Beacon de tĂ©lĂ©mĂ©trie vers le C2 (IP, locale, hostname, OS, hash de build) RĂ©cupĂ©ration du payload AppleScript via curl pipĂ© directement dans osascript (jamais Ă©crit sur disque) Stage 2 (“Meow DEBUG”) : payload AppleScript exĂ©cutĂ© entiĂšrement en mĂ©moire 🩠 CapacitĂ©s du payload Stage 2 Vol de credentials : fausse boĂźte de dialogue System Preferences, validation via dscl . authonly, jusqu’à 10 tentatives Vol de donnĂ©es navigateurs : Chrome, Brave, Edge, Opera, Firefox, Safari, Arc, Vivaldi, Orion, Sidekick, Coccoc et autres (cookies, Login Data, Safe Storage keys) Vol de wallets crypto : 25 wallets desktop (Exodus, Electrum, Atomic, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core
) + plus de 100 extensions Chromium dont MetaMask Vol de sessions : Telegram (tdata/), Discord (4 variantes), Steam Grab de fichiers : ~/Desktop, ~/Documents (docx, wallet, key, json, rdp, png
) Apple Notes : copie SQLite directe Exfiltration : archive ZIP vers https://qwqerrqwr2145qw.com/gate avec clĂ© API dĂ©diĂ©e 💉 Injection de wallets desktop AprĂšs exfiltration, le malware cible Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite : ...

19 juin 2026 Â· 5 min

Campagne ClickFix générée par IA déploie SmartRAT, un RAT bancaire PowerShell ciblant le Brésil

🔍 Contexte PubliĂ© le 17 juin 2026 par Zscaler ThreatLabz (chercheurs Shruti Dixit et Manisha Ramcharan Prajapati), cet article documente une campagne ClickFix observĂ©e en mars 2026 utilisant des sites web gĂ©nĂ©rĂ©s par IA pour distribuer un nouveau RAT bancaire nommĂ© SmartRAT. Trend Micro a Ă©galement analysĂ© ce malware sous le nom Banana RAT avec un vecteur d’attaque diffĂ©rent. 🎯 Vecteur d’infection Les acteurs malveillants ont enregistrĂ© le domaine typosquattĂ© cartaobb[.]com imitant le domaine lĂ©gitime cartaobrb[.]com[.]br d’une banque brĂ©silienne populaire. La page frauduleuse, vraisemblablement gĂ©nĂ©rĂ©e par un outil de crĂ©ation de sites web IA, prĂ©sente : ...

18 juin 2026 Â· 4 min

CVE-2026-20253 : RCE pré-authentifiée dans Splunk Enterprise via le service PostgreSQL Sidecar

🔍 Contexte Le 12 juin 2026, watchTowr Labs (Piotr Bazydlo et Yordan Ganchev) publie une analyse technique approfondie de CVE-2026-20253, une vulnĂ©rabilitĂ© critique (CVSS 9.8) affectant Splunk Enterprise et permettant une exĂ©cution de code Ă  distance sans authentification prĂ©alable. 🎯 VulnĂ©rabilitĂ© La faille rĂ©side dans le PostgreSQL Sidecar Service de Splunk Enterprise, un composant installĂ© et activĂ© par dĂ©faut sur les dĂ©ploiements Splunk Enterprise sur AWS (versions 10 et supĂ©rieures). Ce service expose une API HTTP interne (127.0.0.1:5435) accessible via proxy depuis l’interface web principale de Splunk (port 8000), sans aucun contrĂŽle d’authentification. ...

18 juin 2026 Â· 3 min

DragonForce abuse l'infrastructure TURN de Microsoft Teams pour masquer son C2

🎯 Contexte Source : Symantec (security.com), publiĂ©e le 16 juin 2026. L’article rapporte une attaque ransomware menĂ©e par le groupe DragonForce contre une grande entreprise de services amĂ©ricaine, avec une prĂ©sence sur le rĂ©seau estimĂ©e entre un et deux mois. đŸ› ïž Technique d’attaque principale Les attaquants ont utilisĂ© un backdoor personnalisĂ© baptisĂ© Backdoor.Turn, dĂ©veloppĂ© en Go, qui constitue selon Symantec la premiĂšre utilisation connue de l’infrastructure TURN de Microsoft Teams pour masquer du trafic C2 dans la nature. ...

18 juin 2026 Â· 2 min

Squidbleed (CVE-2026-47729) : fuite mémoire de type Heartbleed dans Squid Proxy depuis 1997

🔍 Contexte PubliĂ© le 18 juin 2026 par Calif.io, cet article prĂ©sente la dĂ©couverte de Squidbleed (CVE-2026-47729), une vulnĂ©rabilitĂ© de type heap buffer overread dans Squid Proxy, prĂ©sente depuis un commit datĂ© du 18 janvier 1997. La dĂ©couverte a Ă©tĂ© rĂ©alisĂ©e Ă  l’aide du modĂšle d’IA Claude Mythos Preview (Anthropic), dans le cadre d’une collaboration entre Calif.io et Anthropic. 🐛 Nature de la vulnĂ©rabilitĂ© La faille rĂ©side dans le parseur de listing FTP de Squid (Ftp::Gateway::htmlifyListEntry), plus prĂ©cisĂ©ment dans la gestion du pointeur copyFrom aprĂšs le timestamp de modification d’un fichier. ...

18 juin 2026 Â· 3 min

ErrTraffic : analyse d'un framework ClickFix MaaS exploitant EtherHiding sur WordPress

🔍 Contexte PubliĂ© le 16 juin 2026 par Sekoia TDR (Jeremy Scion et Quentin Bourgue), cet article est la version publique d’un rapport privĂ© distribuĂ© aux clients le 2 juin 2026. Il documente en profondeur le framework ErrTraffic, un outil de distribution de malwares opĂ©rĂ© sous modĂšle Malware-as-a-Service (MaaS). đŸ§© Description du framework ErrTraffic ErrTraffic est un framework JavaScript injectĂ© dans des sites WordPress compromis pour afficher des leurres ClickFix (faux BSOD, reCAPTCHA, Cloudflare Turnstile) et distribuer des malwares aux visiteurs. Il intĂšgre un Traffic Distribution System (TDS) avec : ...

17 juin 2026 Â· 5 min

Lunettes connectées Meta Ray-Ban : enregistrement furtif et limites des apps de détection BLE

🔍 Contexte PubliĂ© le 14 juin 2026 sur mobile-hacker.com, cet article prĂ©sente les rĂ©sultats de tests pratiques sur les lunettes connectĂ©es Meta Ray-Ban Generation 2 et les mĂ©canismes censĂ©s protĂ©ger la vie privĂ©e des personnes filmĂ©es Ă  leur insu. đŸ“· Enregistrement discret malgrĂ© les indicateurs visuels Les lunettes Meta Ray-Ban Gen 2 permettent l’enregistrement vidĂ©o haute rĂ©solution, audio et photo en mode mains libres dans les espaces publics. Un indicateur LED est censĂ© signaler l’enregistrement en cours. Cependant, cet indicateur peut ĂȘtre rendu inefficace par : ...

17 juin 2026 Â· 2 min

Opération Highland : Velvet Ant infiltre un réseau isolé pendant prÚs d'une décennie

🔍 Contexte PubliĂ© le 8 juin 2026 par Sygnia, cet article prĂ©sente les rĂ©sultats d’une investigation forensique approfondie sur l’OpĂ©ration Highland, une intrusion attribuĂ©e Ă  Velvet Ant, un acteur de menace Ă  nexus chinois. Les premiers artefacts forensiques remontent Ă  2016, soit prĂšs d’une dĂ©cennie de prĂ©sence non dĂ©tectĂ©e. 🎯 Cible et particularitĂ© de l’attaque Le rĂ©seau ciblĂ© Ă©tait une infrastructure critique sans connectivitĂ© internet directe. L’attaquant a contournĂ© cette isolation en construisant une chaĂźne d’accĂšs multi-Ă©tapes : ...

17 juin 2026 Â· 4 min

Analyse technique du framework C2 Havoc : techniques d'évasion et cycle d'infection

🔍 Contexte : Le 10 juin 2026, l’équipe SonicWall Capture Labs Threat Research a publiĂ© une analyse technique d’un Ă©chantillon du framework C2 Havoc, connu pour ses capacitĂ©s de furtivitĂ© avancĂ©es et utilisĂ© dans diverses campagnes malveillantes. ⚙ Cycle d’infection : L’infection se dĂ©roule en deux Ă©tapes : Un script VBS lĂ©gĂšrement obfusquĂ© tĂ©lĂ©charge et exĂ©cute un binaire malveillant sous forme de bundle MSI (update.msi) Le MSI dĂ©pose deux fichiers imitant des composants Microsoft lĂ©gitimes : EndpointDLP.dll et MpExtMs.exe, dans le rĂ©pertoire C:\Users\user\AppData\Local\PlatformServices\ EndpointDLP.dll prĂ©sente un horodatage falsifiĂ© Ă  2070 (timestomping) đŸ›Ąïž Techniques d’évasion : ...

13 juin 2026 Â· 3 min

CVE-2026-50751 : Bypass d'authentification IKEv1 dans les VPN Check Point (CVSS 9.3)

🔍 Contexte Le 12 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-50751, une vulnĂ©rabilitĂ© de bypass d’authentification (CVSS 9.3) affectant les produits Check Point Remote Access VPN, Mobile Access et Spark Firewall. Check Point a publiĂ© des hotfixes le 8 juin 2026. La vulnĂ©rabilitĂ© est inscrite au CISA KEV et a Ă©tĂ© exploitĂ©e in the wild. 🎯 Produits affectĂ©s Les versions Gaia suivantes sont concernĂ©es : R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X, R82.10 Les versions en fin de support ne reçoivent aucun hotfix. ...

13 juin 2026 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝